Nawigacja
RODO > Motyw 85
Pobierz jako plik PDF

Motyw 85

Recital 85

(85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych mo偶e skutkowa膰 powstaniem uszczerbku fizycznego, szk贸d maj膮tkowych lub niemaj膮tkowych u os贸b fizycznych, takich jak utrata kontroli nad w艂asnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzie偶 lub sfa艂szowanie to偶samo艣ci, strata finansowa, nieuprawnione odwr贸cenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufno艣ci danych osobowych chronionych tajemnic膮 zawodow膮 lub wszelkie inne znaczne szkody gospodarcze lub spo艂eczne.

Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zg艂osi膰 je organowi nadzorczemu bez zb臋dnej zw艂oki, je偶eli to wykonalne, nie p贸藕niej ni偶 w terminie 72 godzin po stwierdzeniu naruszenia, chyba 偶e administrator jest w stanie wykaza膰 zgodnie z zasad膮 rozliczalno艣ci, 偶e jest ma艂o prawdopodobne, by naruszenie to mog艂o powodowa膰 ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych.

Je偶eli nie mo偶na dokona膰 zg艂oszenia w terminie 72 godzin, zg艂oszeniu powinno towarzyszy膰 wyja艣nienie przyczyn op贸藕nienia, a informacje mog膮 by膰 przekazywane stopniowo, bez dalszej zb臋dnej zw艂oki.

(85) A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned.

Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.

Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay.